配置admin分区
重要的
- 只有超级用户有权创建和配置管理分区。
- 除非另有指定,否则必须从默认分区进行设置管理分区的配置。
通过对Citrix ADC设备进行分区,您实际上是在为单个Citrix ADC设备创建多个实例。每个实例都有自己的配置,每个分区的流量彼此隔离。这是通过为每个分区分配专用VLAN或共享VLAN来实现的。
分区的Citrix ADC有一个默认分区和创建的管理分区。要设置管理分区,必须首先创建一个具有相关资源(内存、最大带宽和连接)的分区。然后,指定可以访问该分区的用户以及该分区上每个用户的授权级别。
访问分区Citrix ADC与访问非分区Citrix ADC相同:通过NSIP地址或任何其他管理IP地址。作为用户,在您提供有效的登录凭证之后,您将被带到绑定的分区。您创建的任何配置都保存到该分区中。如果您与多个分区相关联,则会被带到与您相关联的第一个分区。如果希望在其他分区上配置实体,则必须显式切换到该分区。
在访问适当的分区后,您执行的配置被保存到该分区,并且是特定于该分区的。
请注意
- Citrix ADC超级用户和其他非分区用户被带到默认分区。
- 所有512个分区的用户都可以同时登录。
提示
要通过使用SNIP(启用管理访问)通过HTTPS访问分区的Citrix ADC设备,请确保每个分区都具有其分区管理员的证书。在分区内,分区管理员必须执行以下操作:
将证书添加到Citrix ADC。
添加ssl certKey ns-server-certificate -cert ns-server。cert-key ns-server.key将其绑定到名为
nshttps——<剪> -3009,在那里<剪>必须替换为SNIP地址,在本例中为100.10.10.1。绑定ssl service nshttps-100.10.10.1-3009 -certkeyName ns-server-certificate . sh
分区资源限制
在分区的Citrix ADC设备中,网络管理员可以创建一个分区,分区资源(如内存、带宽和连接限制)配置为无限。这是通过指定Zero作为分区资源值来实现的。其中0表示分区上的资源是无限的,它可以被消耗到系统限制。当您将流量域部署迁移到管理分区,或者您不知道给定部署中某个分区的资源分配限制时,分区资源配置非常有用。
管理分区的资源限制如下:
分区的内存.它是为一个分区分配的最大内存。确保在创建分区时指定了这些值。
请注意
从NetScaler 12.0开始,在创建分区时,可以将内存限制设置为0。如果已经创建了具有特定内存限制的分区,则可以将该限制减少到任何值,或将该限制设置为Zero。
参数:maxMemLimit
在一个分区中分配的最大内存以MB为单位。零值表示分区上的内存是无限的,它可以消耗到系统限制。
缺省值:10
分区的带宽.为分区分配的最大带宽。如果指定了一个限制,请确保它在设备许可的吞吐量范围内。否则,就不会限制分区使用的带宽。指定的限制取决于应用程序所需的带宽。当应用带宽超过配置的带宽限制时,报文将被丢弃。
请注意
从NetScaler 12.0开始,当您可以创建一个分区时,可以将分区带宽限制设置为0。如果已经创建了具有特定带宽的分区,则可以减少带宽或将限制设置为Zero。
参数:maxBandwidth
在一个分区中以Kbps为单位分配最大带宽。0表示带宽不受限制。也就是说,分区的消耗可以达到系统的极限。
缺省值:10240
最大值:4294967295
分区连接.一个分区中可以打开的最大并发连接数。该值必须容纳分区内预期的最大并发流。分区连接由分区配额内存计算。以前,连接是根据默认分区配额内存计算的。它只在客户端上配置,而不在后端服务器端TCP连接上配置。超过此配置值不能建立新的连接。
请注意
从NetScaler 12.0开始,您可以创建一个打开的连接数设置为0的分区。如果您已经创建了一个具有特定数量的打开连接的分区,那么您可以减少连接限制或将该限制设置为Zero。
参数:maxConnections
分区中可以打开的最大并发连接数。零值表示对打开的连接数没有限制。
默认值:1024
最小值:0
最大值:4294967295
配置管理分区
要配置管理分区,请完成以下任务。
通过CLI访问admin分区
- 登录到Citrix ADC设备。
- 检查您是否在正确的分区中。命令提示符显示当前所选分区的名称。
- 如果是,请跳转下一步。
如果没有,获取与您相关联的分区列表,并切换到适当的分区。
显示系统用户<用户名>switch ns partition. sh
- 现在,您可以像非分区Citrix ADC一样执行所需的配置。
使用GUI访问一个管理分区
登录到Citrix ADC设备。
检查您是否在正确的分区中。GUI的顶部栏显示当前所选分区的名称。
如果是,请跳转下一步。
如果没有,请跳转到配置>系统>分区管理>分区,右键单击需要切换到的分区,选择开关.
现在,您可以像非分区Citrix ADC一样执行所需的配置。
添加一个管理分区
root管理员从默认分区中添加一个管理分区,并将该分区与VLAN 2绑定。
使用实例使用CLI创建管理分区
在命令提示符处,输入:
添加分区将用户访问从默认分区切换到管理分区
现在可以将用户访问从默认分区切换到分区Par1。
使用实例使用CLI命令,将用户从默认分区切换到admin分区。
在命令提示符处,输入:
切换ns分区为开启管理访问权限的分区用户帐户添加SNIP地址
在该分区中创建一个启用管理访问的SNIP地址。
使用命令行界面为开启管理访问权限的分区用户账号添加SNIP地址。
在命令提示符处,输入:
> add ns ip
使用分区命令策略创建并绑定分区用户
在分区中,创建分区系统用户,并将该用户与分区管理命令策略绑定。
使用实例使用CLI命令,创建分区系统用户并绑定分区命令策略。
在命令提示符处,输入:
> add system user
完成
使用分区命令策略创建并绑定分区用户组
在“Partition Par1”中创建分区系统用户组,并与分区命令策略(分区admin、分区只读、分区操作员、分区网络)绑定。
使用命令行界面,创建分区用户组,并与分区命令策略绑定。
> add system group > bind system group (-userName | -policyName | -partitionName) 配置外部用户的外部服务器认证
在Par1分区中,可以配置外部服务器身份验证,以验证通过SNIP地址访问该分区的外部TACACS用户。
使用命令行接口,配置外部用户的外部服务器认证。
在命令提示符处,输入:
> add authentication tacacsaction -serverip -tacacsSecret -authorization ON -accounting ON > add authentication policy -rule true -action > bind system global -priority 1 该任务指导系统管理员通过GUI界面,在分区中配置分区系统用户
在管理分区中配置分区用户,需要创建分区用户或分区用户组,并为其绑定分区命令策略。也可以为外部用户配置外部服务器认证。
使用GUI在分区中创建分区用户帐户
导航到系统>用户管理,点击用户添加分区系统用户,并绑定命令策略(partitionadmin/partitionread-only/partition-operator/partition-network)。
使用GUI在分区中创建分区用户组帐号
导航到系统>用户管理,点击组添加分区系统用户组,并将该用户组与命令策略(partitionadmin/partitionread-only/partition-operator/partition-network)绑定。
通过GUI配置外部用户的外部服务器认证
导航到系统>认证>基本动作并点击TACACS配置TACACS服务器,对访问该分区的外部用户进行认证。
示例配置
创建分区用户或分区用户组,并为其绑定分区命令策略。此外,如何配置外部服务器认证,以便对外部用户进行认证。
>添加分区Par1 >开关ns分区Par1 >添加ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled约翰>添加系统用户密码>绑定系统用户简partition-read-only优先级1 >添加系统集团零售>绑定系统集团零售-policyname分区网络1(1是优先级号)>绑定系统组零售用户名简>添加身份验证tacacssaction tacuser -serverip 10.102.29.200 -tacacsSecret密码授权对会计>添加身份验证policy polname -rule true -action tacacsAction > bind system global polname -priority管理分区的分区用户和分区用户组的命令策略
| 命令来授权管理分区内的用户帐户 | 管理分区内可用的命令策略(内置策略) | 用户帐户访问类型 |
|---|---|---|
| 添加系统用户 | Partition-admin | SNIP(启用管理访问) |
| 添加系统组 | 分区网络 | SNIP(启用管理访问) |
添加身份验证<行动,政策>,绑定系统全局<政策名称> |
Partition-read-only | SNIP(启用管理访问) |
| 删除系统用户 | Partition-admin | SNIP(启用管理访问) |
| 删除系统组 | Partition-admin | SNIP(启用管理访问) |
绑定系统cmdpolicy对系统用户;绑定系统cmdpolicy到系统组 |
Partition-admin | SNIP(启用管理访问) |
在默认的admin分区上配置一个LACP以太网通道
通过使用链路聚合控制协议(LACP),您可以将多个端口组合成一个单一的高速链路(也称为通道)。支持LACP的设备通过通道交换LACP数据单元。
可以在Citrix ADC设备的默认分区中启用三种LACP配置模式:
- 活跃。active模式下的端口发送lacpdu报文。当以太网链路的另一端为LACP主备模式时,会形成链路聚合。
- 被动的。被动模式下的端口只有在收到报文后才会发送报文。如果以太网链路的另一端为LACP主用模式,则会形成链路聚合。
- 禁用。链路聚合未形成。
请注意
默认情况下,在设备的默认分区中禁用链接聚合。
LACP协议用于在以太网连接的设备之间交换LACPDU。这些设备通常被称为参与者或合作伙伴。
LACPDU数据单元包含以下参数:
- LACP模式。主动、被动或禁用。
- LACP超时。搭档或演员退出前的等待时间。取值:“Long”和“Short”。默认值:长。
- 港口的关键。要区分不同的渠道。当键为1时,创建LA/1。当键值为2时,创建LA/2。取值范围:1 ~ 8的整数。4到8用于集群CLAG。
- 端口优先级。最小值为1。最大值:65535。默认值:32768。
- 系统优先级。在与合作伙伴进行LACP协商时,使用此优先级与系统MAC一起形成系统ID,以唯一标识系统。设置系统优先级,取值范围为1 ~ 65535。默认值为32768。
- 接口。NetScaler 10.1设备上支持每通道8个接口,NetScaler 10.5和11.0设备上支持每通道16个接口。
交换完lacpdu后,参与者和合作伙伴协商设置,决定是否将端口添加到聚合中。
配置和验证LACP
下面的部分将展示如何在管理分区中配置和验证LACP。
使用CLI在Citrix ADC设备上配置和验证LACP
在各接口上使能LACP。
set interface-lacpMode PASSIVE -lacpKey 1 当您在接口上启用LACP时,通道是动态创建的。同时,当接口使能LACP功能,并设置lacpKey为1时,该接口将自动绑定到通道LA/1。
请注意
当将接口绑定到通道时,通道参数优先于接口参数,因此接口参数将被忽略。如果通道是由LACP动态创建的,则不能对该通道进行添加、绑定、解绑定和删除操作。通过LACP动态创建的通道,当在该通道的所有接口上禁用LACP时,该通道将被自动删除。
设置系统优先级。
set lacp -sysPriority验证LACP是否正常工作。
' ' '显示界面
' ' '显示频道< !——NeedCopy >显示LACP < !——NeedCopy >请注意
在某些版本的iOS操作系统中,执行switchport trunk native VLAN
命令会导致Cisco交换机对LACP pdu进行标记。它会导致Cisco交换机和Citrix ADC设备之间的LACP通道失败。但是,这个问题不会影响上一个过程中配置的静态链接聚合通道。
从默认分区保存所有管理分区的配置
管理员可以一次性从默认分区保存所有管理分区的配置。
通过CLI保存默认分区下的所有admin分区
在命令提示符处,输入:
保存ns config -all
支持基于分区和集群的自定义报告
Citrix ADC GUI只显示在当前查看分区或集群中创建的自定义报告。
以前,Citrix ADC GUI用于将Custom Report名称直接存储到后端文件中,而无需提及分区或集群名称进行区分。
在图形界面中查看当前分区或集群的自定义报表
导航到报告选项卡。
点击自定义报告查看在当前分区或集群中创建的报表。
支持在OAuth IdP的分区设置中绑定VPN全局证书
在分区设置中,您现在可以为OAuth IdP部署将证书绑定到VPN全局。
使用CLI绑定分区设置中的证书
在命令提示符处,输入:
bind vpn global [-certkeyName ] [-userDataEncryptionKey ]